En esta sección, se describe la forma de configurar una instancia de Destino que no es de SD-WAN de tipo Hub virtual de Microsoft Azure a través de Edge en SD-WAN Orchestrator.

Para configurar una instancia de Destino que no es de SD-WAN de tipo Hub virtual de Microsoft Azure a través de Edge en SD-WAN Orchestrator:

Requisitos previos

Procedimiento

  1. En el panel de navegación de SD-WAN Orchestrator, vaya a Configurar (Configure) > Servicios de red (Network Services).
    Se mostrará la pantalla Servicios (Services).
  2. En el área Destinos que no son de SD-WAN a través de Edge (Non SD-WAN Destinations via Edge), haga clic en el botón Nuevo (New).
    Aparece el cuadro de diálogo Nuevo destino que no es de SD-WAN a través de Edge (New Non SD-WAN Destination via Edge).
  3. En el cuadro de texto Nombre de servicio (Service Name), introduzca el nombre para Destino que no es de SD-WAN.
  4. En el menú desplegable Tipo de servicio (Service Type), seleccione Hub virtual de Microsoft Azure (Microsoft Azure Virtual Hub).
  5. En el menú desplegable Suscripción (Subscription), seleccione una suscripción de nube.
    La aplicación recuperará de forma dinámica todas las redes WAN virtuales disponibles de Azure.
  6. En el menú desplegable WAN virtual (Virtual WAN), seleccione una red WAN virtual.
    La aplicación rellenará automáticamente el grupo de recursos al que se encuentra asociada la red WAN virtual.
  7. En el menú desplegable Hub virtual (Virtual Hub), seleccione un hub virtual.
    La aplicación rellenará automáticamente la región de Azure correspondiente al hub.
  8. Haga clic en Siguiente (Next).
    Se creará un Destino que no es de SD-WAN de Microsoft Azure basado en rutas y aparecerá un cuadro de diálogo para Destino que no es de SD-WAN.
  9. Si desea configurar los ajustes de túnel para la puerta de enlace de VPN principal de Destino que no es de SD-WAN, haga clic en el botón Avanzado (Advanced).
  10. En el área Puerta de enlace VPN principal (Primary VPN Gateway), puede configurar los siguientes ajustes de túnel:
    Campo Descripción
    Cifrado (Encryption) Seleccione AES 128 o AES 256 como el tamaño de la clave de algoritmos para cifrar los datos. Si no desea cifrar los datos, seleccione Ninguno (NONE). El valor predeterminado es AES 128.
    Grupo DH (DH Group) El algoritmo de grupo Diffie-Hellman (DH) que se utilizará al intercambiar una clave compartida previamente. El grupo DH establece la fuerza del algoritmo en bits. El grupo de DH compatibles es el 2.
    PFS Seleccione el nivel de confidencialidad directa total (Perfect Forward Secrecy, PFS) para mayor seguridad. Los niveles de PFS compatibles son 2, 5, 14, 15 y 16. El valor predeterminado es Desactivado (Deactivated).
    Hash El algoritmo de autenticación para el encabezado de VPN. Seleccione una de las siguientes funciones de algoritmo de hash seguro (SHA) compatibles de la lista:
    • SHA 1
    • SHA 256

    El valor predeterminado es SHA 256.

    Duración de SA de IKE (IKE SA Lifetime) (min) Tiempo en el que se inicia la regeneración de claves de intercambio de claves de Internet (Internet Key Exchange, IKE) para las instancias de Edge. La duración mínima de IKE es de 10 minutos y la duración máxima de IKE, de 1440 minutos. El valor predeterminado es 1440 minutos.
    Duración de SA de IPsec (IPsec SA Lifetime) (min) Tiempo en el que se inicia la regeneración de claves del protocolo de seguridad de Internet (Internet Security Protocol, IPsec) para las instancias de Edge. La duración mínima de IPsec es de 3 minutos y la duración máxima de IPsec, de 480 minutos. El valor predeterminado es 480 minutos.
    Temporizador de tiempo de espera de DPD (s) (DPD Timeout Timer(sec)) Introduzca el valor de tiempo de espera de DPD. El valor de tiempo de espera de DPD se agregará al temporizador de DPD interno, como se describe a continuación. Espere una respuesta del mensaje de DPD antes de considerar que el elemento del mismo nivel está inactivo (Dead Peer Detection).
    Antes de la versión 5.1.0, el valor predeterminado era de 20 segundos. Para la versión 5.1.0 y versiones posteriores, consulte la siguiente lista para ver el valor predeterminado.
    • Nombre de biblioteca: Quicksec
    • Intervalo de sondeo: exponencial (0,5 segundos, 1 segundo, 2 segundos, 4 segundos, 8 segundos, 16 segundos)
    • Intervalo de DPD mínimo predeterminado: 47,5 segundos (Quicksec espera 16 segundos después del último reintento. Por lo tanto, 0,5 + 1 + 2 + 4 + 8 + 16 + 16 = 47,5).
    • Intervalo de DPD mínimo predeterminado + Tiempo de espera de DPD (segundos): 67,5 segundos
    Nota: Antes de la versión 5.1.0, puede desactivar DPD configurando el temporizador de tiempo de espera de DPD en 0 segundos. Sin embargo, para la versión 5.1.0 y versiones posteriores, no se puede desactivar DPD configurando el temporizador de tiempo de espera de DPD en 0 segundos. El valor de tiempo de espera de DPD en segundos se agregará al valor mínimo predeterminado de 47,5 segundos.
    Nota:

    Destino que no es de SD-WAN A través de Edge del tipo de automatización de Microsoft Azure Virtual WAN solo admite el protocolo IKEv2 con directivas IPSec predeterminadas de Azure (excepto el modo GCM), cuando SD-WAN Edge actúa como iniciador y Azure actúa como respondedor durante la configuración de un túnel IPSec.

  11. Haga clic en Guardar cambios (Save Changes).

Qué hacer a continuación

Para obtener información sobre la automatización de Edge de Azure Virtual WAN, consulte Configurar SD-WAN Orchestrator para la automatización de IPsec de Azure Virtual WAN desde SD-WAN Edge.